在IIS6中安装.Net环境出现错误

偶看在Windows 2003+IIS6上配置.Net环境,遇到一些问题。

第一个错误

Server Error in ‘/’ Application.
——————————————————————————–

Thread was being aborted.
Description: An unhandled exception occurred during the execution of the current web request. Please review the stack trace for more information about the error and where it originated in the code.

Exception Details: System.Threading.ThreadAbortException: Thread was being aborted.

Source Error:

An unhandled exception was generated during the execution of the current web request. Information regarding the origin and location of the exception can be identified using the exception stack trace below.

Stack Trace:
[ThreadAbortException: Thread was being aborted.]
System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously) +518
System.Web.ApplicationStepManager.ResumeSteps(Exception error) +506
System.Web.HttpApplication.System.Web.IHttpAsyncHandler.BeginProcessRequest(HttpContext context, AsyncCallback cb, Object extraData) +172
System.Web.HttpRuntime.ProcessRequestInternal(HttpWorkerRequest wr) +417

——————————————————————————–
Version Information: Microsoft .NET Framework Version:4.0.30319; ASP.NET Version:4.0.30319.1

这个错误启用了父路径导致错误,关闭父路径即可。

Asp Net4.0

第二个错误

Server Application Unavailable

The web application you are attempting to access on this web server is currently unavailable. Please hit the “Refresh” button in your web browser to retry your request.

Administrator Note: An error message detailing the cause of this specific request failure can be found in the application event log of the web server. Please review this log entry to discover what caused this error to occur.

这个是网站权限问题,偶看给网站目录添加了everyone用户的读取权限就正常了。添加everyone用户的权限应该对服务器安全有影响,需要去研究下。

林伟强建议wordpress马上升级到3.5.1版本。

林伟强刚登陆偶看网络营销博客发现wordpress更新提示–wordpress3.5.1版本已经发布,现在更新。

林伟强马上登陆wordpress官方查看wordpress3.5.1版本信息,通过更新信息发现,所有wordpress用户建议马上升级到wordpress3.5.1.

具体的更新信息如下:

WordPress 3.5.1 简体中文版本现已可用。版本修复 37 个问题。这也是一个安全更新。完整的问题列表请参见 ticket 列表和 changelog。梗概如下:

编辑器:解决 HTML 元素可能意外消失的问题。
多媒体:修正若干小工作流程问题和兼容性问题。
多站点:在创建新网络的时候提示使用正确的重写规则。
避免定时发布的一些 HTML 标签在发布时消失的问题。
临时解决了错误配置可能造成的仪表盘 JavaScript 异常的问题。
隐藏了插件错误使用数据库或用户 API 时的警告。
由于一个程序问题,Windows 上运行 IIS 的用户无法自动从 3.5 升级到 3.5.1。参见文档(英文,请登录翻译)来手动升级。

WordPress 3.5.1 解决的安全问题如下:

使用 pingback 的远程端口扫描问题。该问题可能导致服务器信息泄露,或被攻击。这个问题影响所有的 WordPress 版本。特别感谢安全研究员 Gennady Kovshenin 和 Ryan Dewhurst 评估我们的工作。
shortcode 和文章内容的两处跨站攻击漏洞。由 WordPress 安全小组 Jon Cave 发现。
外部库 Plupload 的跨站漏洞。感谢 Moxiecode 开发者和我们一起研究、解决问题,感谢他们发布 Plupload 1.5.5。

pingback漏洞影响到所有的wordpress版本,这个大家需要引起重视。

wordpress主题HTTP响应拆分漏洞解决方案

偶看网络营销博客通过360网站安全监测出现——HTTP响应拆分漏洞(WASC Threat Classification)

HTTP响应拆分漏洞

该漏洞的危害:攻击者可能注入自定义HTTP头。例如,攻击者可以注入会话cookie或HTML代码。这可能会进行类似的XSS(跨站点脚本)或会话固定漏洞。

解决方案:限制用户输入的CR和LF,或者对CR和LF字符正确编码后再输出,以防止注入自定义HTTP头。

偶看网络营销博客出现这个问题,是因为添加了wordpress评论外链跳转功能,站外网址的跳转是使用“/?r=”直接跳转,没有使用中间跳转页,而且代码过滤不严格,即

$redirect = $_GET['r'];

后面必须过滤CR和LF字符,在该代码后面加上

$redirect = trim(str_replace("\r","",str_replace("\r\n","",strip_tags(str_replace("'","",str_replace("\n", "", str_replace(" ","",str_replace("\t","",trim($redirect))))),""))));

即可成功修复HTTP响应拆分漏洞。